…. ou quand le Règlement européen met le holà à la dissémination des données personnelles.
La protection des données personnelles est certes une affaire individuelle. Il est évident que chacun doit prendre soin de la protection de sa vie privée et donc, des données qui le concerne ; tout comme il ferme la porte de sa maison ou de sa voiture pour protéger ses biens. C’est un réflexe aujourd’hui élémentaire.
Mais, communiquer ses données est un acte tellement banal et indispensable depuis déjà des années que l’on n’y prend plus garde et surtout, l’utilisation secondaire qui est faite des données personnelles ainsi divulguée s’est amplifiée avec Internet, le ciblage et le profilage algorithmique, disséminant nos données personnelles.
Des textes légaux ont encadré ces utilisations et d’ailleurs, la France avait été assez précurseur en la matière en prenant en considération, dès 1978, l’acte de collecter, de classer et de réutiliser les données personnelles via des logiciels et des bases de données. Le cadre légal fonctionnait assez bien d’autant que les sanctions avaient été alourdies par la loi pour une République Numérique du 7 octobre 2016, portant le montant jusqu’à 3 millions d’euros. Il était temps : les 150 000 euros étaient peu effrayants pour Google !
Aujourd’hui, l’introduction dans notre droit du Règlement (UE) 2016/279 sur la protection des données personnelles (RGPD) est une véritable révolution.
Il est possible de parler d’ « ubérisation » de la protection de la donnée personnelle. Outre le caractère percutant de la formule, il s’agit de montrer que le RGPD disrupte les pratiques actuelles en confiant aux entreprises elles-mêmes la responsabilité de la protection des données personnelles et de la vie privée. Finies les déclarations préalables des fichiers auprès de la CNIL, chaque entreprise titulaire de base de données à caractère personnel doit s’interroger d’une part si elle respecte les principes légaux à savoir notamment le consentement clair et éclairé de la personne concernée et la finalité de la collecte et d’autre part si elle protège suffisamment la vie privée des personnes dont elle détient les données personnelles.
La protection de la donnée personnelle confiée concerne la sécurité du système d’information de l’entreprise dans son ensemble. Le RGPD crée une co-responsabilité de la conformité entre le responsable de traitement et ses sous-traitants. Gare aux clauses contractuelles allégeant voire excluant la responsabilité dans les contrats de sous-traitance ! Il convient donc de s’assurer que la chaîne contractuelle de responsabilité n’est pas lacunaire.
Concernant les droits des personnes physiques concernées, leurs droits sont renforcés : droit d’accès, de rectification, d’opposition, de vérification, de suppression. Le droit à la portabilité des données introduit par la loi pour une République numérique précitée est également prévue par le RGPD.
Les entreprises ont jusqu’au 25 mai 2018 pour se mettre en conformité avec le RGPD ; ce qui signifie essentiellement la mise en place de procédures particulières, propres à chaque entreprise : la liste des traitements de données personnelles existants dans l’entreprise indiquant le type de données et leur gestion, l’impact sur la vie privée et l’évaluation des risques.
En principe, les contrôles de la CNIL pourront commencer dès le 25 mai 2018 dans tous les secteurs d’activité. Néanmoins, d’après les échanges avec les équipes de la CNIL, ce sont les entreprises détenant des données dites sensibles notamment médicales et financières, qui seront les premières vérifiées.
pour aller plus loin sur ce sujet, rejoignez nous à la formation « Protection des données personnelles, se conformer aux nouvelles exigences ». (prochaine date le 29 juin 2017)
Pôle Propriété Intellectuelle et Nouvelles Technologies